基于態勢感知的智慧圖書館網絡安全防護體系構建

宋 欣，劉 娜，蘇 葉

近年來，隨著云計算、大數據和人工智能等新信息技術的不斷發展和廣泛應用，圖書館正朝著智慧圖書館的方向發展。智慧圖書館以云計算、移動互聯、物聯網等技術為依托，能夠自動識別和感知用戶所需信息，并為其提供方便、快捷、準確的智慧化、個性化信息服務。智慧圖書館云服務基礎設施用于支撐各類信息數據的采集、傳輸、處理、存儲等，是智慧圖書館服務應用系統高效運行的基本保障，通常采用云模式的組織架構。云數據中心匯集了大量數據信息和網絡設備，導致集中化的海量數據信息在存儲和傳輸過程中面臨被破壞的安全風險，一旦云數據中心遭受攻擊將造成極大的影響。總之，云計算和虛擬化在給智慧圖書館數據中心帶來便利的同時也帶來了新的安全風險與挑戰。傳統的網絡安全防護體系已無法滿足智慧圖書館網絡安全防護需求，需要一種新技術解決傳統網絡安全防護體系的不足，為智慧圖書館的網絡安全防護提供有效支撐，提升智慧圖書館的安全性和可靠性。

態勢感知源于戰爭與對抗行動，主要包括對敵我雙方兵力、武器等直接戰斗要素定量定性的了解和對作戰地理、氣候、水文等環境特征的掌握，實現對敵我雙方作戰目的、戰術戰法、攻防行動的分析預測，以便做出快速正確的決策，達到知己知彼、百戰不殆的目的。20 世紀90 年代末，態勢感知被引入信息技術安全領域，并首先用于下一代入侵檢測系統的研究［1］，出現了網絡安全態勢感知的概念。當前國內外在網絡安全態勢感知理論、技術和方法等方面已有相關研究，但在基于態勢感知技術并結合智慧圖書館建設進行網絡安全防護體系構建方面鮮有研究。本文在對智慧圖書館網絡環境下傳統網絡安全防護體系存在的不足進行分析的基礎上，結合態勢感知技術的特點，通過探討和構建基于態勢感知的網絡安全防護體系，實現圖書館網絡安全管理和運維效率的有效提升，為智慧圖書館網絡信息化服務提供安全保障。

1 傳統的網絡安全防護體系

傳統的網絡安全防護體系主要通過在數據中心部署防火墻、入侵防御系統、Web 應用防火墻、漏洞掃描系統、安全審計系統等安全設備來了解和分析網絡的安全狀態，保障整個數據中心的邊界安全、運行環境安全、網絡通信安全及數據信息安全。

防火墻通過在內外網之間建立一個安全網關，確保內部網絡免受外來用戶的攻擊和入侵，實現內外網或不同信任網絡區域之間的隔離，從而起到對網絡訪問進行有效控制的作用。入侵防御系統通過監控網絡和網絡設備及網絡數據傳輸行為，對一些異常或具有傷害性的網絡數據傳輸行為進行阻斷或隔離。Web 應用防火墻針對Web 頁面進行應用掃描、木馬檢測、安全防護和訪問控制等，能夠有效地防護網頁網站的安全。漏洞掃描系統主要對系統、網站、端口、應用軟件、數據庫等一些網絡應用進行掃描檢測，并對其檢測出的漏洞進行報警，提示對漏洞進行修復。安全審計系統主要針對數據中心內部的各種安全隱患和業務風險，根據既定的規則跟蹤記錄數據中心系統運行生成的各種操作日志和數據，審計和檢測數據中心存在的安全漏洞及安全漏洞被利用的方式。

隨著智慧圖書館的建設發展及其業務應用的快速增長，圖書館的網絡規模日益擴大，拓撲結構日益復雜，安全問題也日益突出。而傳統的網絡安全防護體系基本都采用相對獨立的網絡安全設備或信息安全防護措施，它們只是從各自的角度發現網絡中存在的問題［2］，彼此之間缺乏有效的協作與關聯，難以對網絡的整體安全狀況進行全面準確的展現和統一有效的防護，一旦圖書館網絡系統遭受攻擊或安全威脅，排查處理比較困難。而態勢感知技術可以帶動傳統的網絡安全防護體系的全面升級，應對智慧圖書館網絡架構下面臨的威脅和挑戰。

2 態勢感知技術

態勢感知是指對一定時間和空間范圍內環境要素的提取、理解和對未來狀態的預測。通過態勢要素提取，獲得必要的數據，然后通過數據分析進行態勢理解，進而實現對未來的態勢預測。

網絡安全態勢感知以安全大數據為基礎，在大規模網絡環境中，通過數據采集、挖掘和智能推演等方式，對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示［3］，結合大數據平臺進行智能化關聯分析，判斷當前網絡整體安全狀況，預測未來網絡安全態勢的發展趨勢，以實現對安全威脅的全面感知、主動防護、風險預測和聯動響應。網絡安全態勢感知的過程主要分為感知、理解和預測3 個階段。

感知：通過檢測工具對影響網絡安全的各種要素進行檢測，采集防火墻、入侵防御系統等網絡安全設備的日志、告警等信息，并確保所獲取數據的準確性，以保證后續所做的決策基于事實。

理解：在獲取大量網絡安全數據的基礎上，通過解析信息之間的關聯性，對其進行融合和分析，了解網絡攻擊造成的影響、判斷攻擊者的行為意圖及當前態勢發生的原因和方式，得出網絡的整體安全狀況。

預測：基于對網絡環境信息的感知和理解，獲取、處理及分析歷史和當前的態勢數據，采用定量、定性預測方式探尋態勢數據之間的變化規律，預測未來網絡安全狀況的發展趨勢，并給出相應的應對措施。

3 基于態勢感知的網絡安全防護體系構建

隨著智能技術在圖書館建設中的應用，圖書館的智慧化程度越來越高，智慧圖書館網絡空間涵蓋了圖書館的基礎信息網絡、重要信息系統、數據庫系統、硬件設備等［4］，網絡安全在智慧圖書館建設與服務中具有重要作用。因此，需要構建牢固可靠的網絡安全防護體系，有效提高圖書館的安全水平，保障智慧圖書館穩定運行，為用戶提供安全可靠的智慧服務。

基于態勢感知的網絡安全防護體系通過在網絡關鍵節點部署探針和數據收集程序來監聽、檢測網絡中的數據流及各種網絡行為，對網絡中的安全要素進行掃描、采集、核查后將獲取到的信息傳輸和存儲到安全感知平臺。安全感知平臺對收集到的各網絡節點的數據進行分析，將分析結果以圖形化的方式直觀展現，并利用機器學習進行風險建模，檢測異常行為，安全人員基于威脅情報采用管理分析技術確定已發生或潛在的安全威脅，從而實現安全態勢可感知、安全威脅可預警、異常行為可追溯的目的。

3.1 體系架構

基于態勢感知的網絡安全防護體系是利用用戶行為關聯分析技術對網絡流量進行安全檢測和預警，形成持續檢測、快速響應的技術架構。通過部署潛伏威脅探針和安全感知平臺，對能夠引起網絡態勢發生變化的安全要素進行獲取、理解和顯示，預測近期的發展趨勢和未來的安全狀態。基于態勢感知的網絡安全防護體系架構見圖1。

圖1 基于態勢感知的網絡安全防護體系架構

如圖1 所示，在核心交換層與內部網絡區域部署潛伏威脅探針，通過網絡流量鏡像的方式識別網段內各類業務資產和用戶行為，提取網絡環境中相關安全對象的狀態、屬性和動態等信息，對捕捉到的網絡信息進行檢測，然后將其提交至安全感知平臺。安全感知平臺對各節點安全檢測探針的數據進行收集，對當前網絡的信息特征進行關聯、組合和分析，從而了解當前網絡的總體安全態勢，檢測和發現安全事件，分析評估網絡的脆弱點和被攻擊的過程，以可視化的形式進行呈現，并由安全人員基于威脅情報關聯進行分析處理，預測網絡中的安全事件和網絡安全態勢在未來一段時間的發展趨勢。

3.2 實現方式

網絡安全態勢感知防護體系的實現方式主要包括數據采集、數據處理、態勢評估、態勢預測等。此外，安全人員和威脅情報也是與網絡安全態勢感知防護體系密切相關的內容。

3.2.1 數據采集

通過軟硬件技術相結合的方式采集網絡安全數據，并從這些海量網絡數據中抽取影響安全態勢的關鍵信息，為態勢理解和預測打下數據基礎。數據的采集處理對整個態勢的提取、分析和呈現有著重要的影響。數據采集過程中需要對每種數據源進行詳細分析，明確采集的位置點，核算其存儲空間和保存周期，制訂出合理的數據采集計劃。根據具體情況和實際應用，針對性地選取容易造成入侵威脅、引起負面影響的位置所產生的數據，通過SNMP、Telnet、SSH 或數據采集工具采集數據。

在采集數據時，應當盡量降低數據冗余，避免采集重復、無用的數據。也就是說，采集點的位置盡可能是單一獲得目標數據的位置，而不是隨意部署、容易引起重復采集的位置。此外，還應考慮數據采集的覆蓋面，在采集數據時通常會優先考慮邊界設備，如防火墻等。雖然這些邊界設備上產生的數據量相對來說更重要，但內部網絡的數據同樣有價值。因此，在進行采集點部署時應當兼顧邊界和內部網絡，盡量覆蓋所有數據流發生的地方，這樣才不會因遺漏而對后續分析和態勢理解造成影響。

3.2.2 數據處理

由于網絡安全相關的數據量巨大，采集的數據可能存在數據重復、數據偏差等情況，因此要進行數據清洗，提高數據質量，從而提高分析結果的質量。此外，由于網絡環境中的各種設備信息、安全告警信息及網絡流量信息等數據的多源異構性，還需要對獲取的多源數據進行融合處理，以得到準確的網絡安全態勢信息。

數據清洗是對不同來源、不同格式的數據進行去重、格式轉換等操作，去除無關的數據，并以網絡攻擊知識庫、網絡威脅情報庫、黑白名單庫等為基礎，在海量原始數據規整過程中同步進行數據標注，將異常、報警、威脅等關鍵信息標記出來，形成精準的基礎安全數據。數據融合是對清洗后的數據進行多級別、多層次的處理，充分利用其冗余性和互補性，以獲得更高精度、概率或置信度的信息，從而為感知過程提供保障，以便更準確地生成網絡態勢信息。

3.2.3 態勢評估

網絡安全態勢評估是以各類網絡安全設備所采集的安全數據和事件為基礎，通過提取、過濾和關聯分析，并根據當前網絡安全評估的需要，選取并借助合適的數學模型進行計算和評價，得到當前網絡安全態勢的評估結果，分析網絡安全狀態所處的階段及遭受攻擊后所造成的影響，從而全面掌握網絡整體的安全狀況。

通過網絡安全態勢評估對網絡系統整體的運行狀況、漏洞情況、所遭受安全威脅的影響范圍與程度等進行綜合評估，全面掌握當前網絡安全態勢，提前發現網絡中存在的安全隱患，以便在網絡攻擊發生之前對這些威脅采取遏制和阻止措施，使系統免受攻擊和破壞，網絡安全得到充分保護。網絡安全態勢評估的重要作用是為安全防護手段的實施提供強有力的支持［5］。通過對網絡安全態勢進行評估，得出安全事件對網絡的影響后，才能對未來的網絡安全態勢進行預測，從而及時選擇安全防護手段。

3.2.4 態勢預測

網絡安全態勢預測為態勢感知的最高層級，是指根據網絡安全態勢的歷史信息和當前狀態對網絡未來一段時間的發展趨勢進行預測［6］。網絡安全態勢預測的內容包括對當前正在發生的網絡攻擊事件的演化進行預測，對未來可能發生的網絡攻擊行為進行預測，對網絡安全整體態勢進行預測等。

網絡攻擊具有隨機性和不確定性，因此網絡安全態勢變化是一個復雜的非線性過程。態勢預測首先獲取歷史態勢數據序列，運用技術方法處理和變換當前態勢數據序列，然后通過建立預測模型分析安全態勢數據序列之間的關系，得出發展變化規律，提前估計事件將來的變化趨勢，獲取未來安全狀況的可能情形，同時對尚未發生的事件和情況進行預先判斷和估計，做出定性或定量的描述，發布預警，為安全人員制定正確的規劃、決策提供參考依據。

3.2.5 安全人員

盡管網絡安全態勢感知有大數據平臺加持，以及各類數據處理和安全分析工具輔助，但有時仍需要人工進行一系列的調查取證和安全分析等操作，以準確判斷某些網絡安全事件的發生和嚴重程度。因此，在基于態勢感知的網絡安全防護體系中，專門從事網絡安全工作、解決網絡安全問題的安全人員是態勢感知的決定性因素，是組織進行網絡安全防護的關鍵所在。根據在態勢感知中所從事的工作內容和角色崗位的不同，安全人員大致分為首席安全官、安全架構師、安全工程師、安全分析師、數據恢復工程師等。

首席安全官是整個組織機構網絡安全的最高負責人，主要負責設計安全框架、選擇網絡安全防護策略或決定網絡安全響應措施，并在其組織機構中推行和落實有關標準和法規。安全架構師主要負責組織內不同安全領域的技術架構和安全系統的設計，并提出合理的網絡安全解決方案。安全工程師主要負責分析網絡現狀，對網絡系統進行安全評估和安全加固，在檢測發現安全事件或攻擊行為時，觸發應急響應操作。安全分析師主要負責在出現網絡攻擊或安全事件時，通過調查取證和安全分析等評估安全事件對網絡和業務服務造成的危害，并提出合適的安全解決方案。數據恢復工程師主要負責在系統和數據遭受攻擊時，通過采用專業軟硬件工具對出現問題的存儲介質進行檢測處理，恢復上面的有效數據。

3.2.6 威脅情報

威脅情報是指通過各種來源獲取環境所面臨威脅的相關知識。通過大數據的收集方法獲取并形成最全、最新的安全事件數據集，以提高網絡安全態勢感知工作中對新型和高級危險的察覺能力［7］。在基于態勢感知的網絡安全防護體系中，安全人員采取一定手段獲取威脅情報，對其進行分析并采取相應的保護措施。通過威脅情報可以知曉攻擊者的原貌、攻擊目標、攻擊手段、攻擊程度、攻擊后果及如何補救。

威脅情報主要來源于網絡系統內部和外部兩個方面。內部威脅情報可以參考網絡安全態勢感知的安全數據來源，即網絡安全態勢感知收集到的被保護網絡中的各類安全數據和信息。外部威脅情報來源相對復雜，也更為重要。從第三方來源收集外部威脅數據，并將這些數據與收集來的內部威脅情報數據相關聯，最終建立專用完備的情報。無論是從內部采集的信息，還是從外部獲取的信息，最后都將被融合起來，由安全人員進行統一分析處理，從而發現攻擊者的行為蹤跡并幫助安全人員做出更好的決策。

3.3 應用效果

基于態勢感知技術構建的智慧圖書館網絡安全防護體系能夠實現業務資產、業務系統應用及流量的可視化，將網絡安全態勢，包括攻擊、漏洞、失陷主機、安全事件、操作行為等信息，通過可視化的方式統一進行展現［8］。基于態勢感知的網絡安全防護體系能夠對業務資產異常行為、內外攻擊行為、違規訪問行為進行實時檢測與報警，并對整體安全態勢進行把握和評價，然后進行有效的安全決策分析。

通過部署安全檢測探針，網絡系統可主動發現和有效監控網絡系統中的所有業務資產，并對已識別的資產進行安全評估。通過訪問關系圖學習展示網絡、用戶及業務系統之間的訪問關系，實現了對業務系統的應用、流量、會話數等感知態勢信息的可視化呈現，提供了易于直觀理解和使用態勢感知技術的方式。結合全網的資產及訪問關系，對業務資產在非正常時間主動發起的請求、業務主動向外發起的非正常請求、越過邊界防護或以內部主機為跳板的橫向攻擊等異常行為和違規訪問業務系統的行為進行檢測和預警，防止進一步的攻擊。基于態勢感知的網絡安全防護體系以大數據、機器學習、深度分析、可視化為技術基礎，將異常流量監測、數據深度挖掘、安全策略解析、威脅情報分析等多種功能進行融合，實現了對網絡安全態勢的實時感知、攻擊行為的準確發現和預測等，提升了網絡的安全運行和管理維護效率。

4 結語

隨著智慧圖書館建設的廣泛開展，圖書館數據中心業務的快速增長，各類業務應用對網絡安全的要求也越來越高。基于態勢感知的網絡安全防護體系能夠適配智慧圖書館的網絡安全需求，通過對網絡設備運行狀況、網絡行為及用戶行為等的變化進行獲取、理解、分析、評估，進一步對未來發展趨勢進行預判和預警，全方位感知智慧圖書館網絡安全態勢，有利于形成較強的網絡安全防御體系和應急響應工作體系［9］，進而有效提高網絡信息的安全性和可靠性，提升網絡安全運行和管理維護效率，為智慧圖書館開展各項智慧服務提供安全保障。構建基于態勢感知的網絡安全防護體系是針對攻擊行為的主動防御，現有的很多關鍵技術難點還需要進一步突破，如如何獲取較高層次的網絡安全信息數據、準確高效地預測態勢發展趨勢等。盡管大數據、人工智能和機器學習的出現和快速發展對態勢感知獲取較高層次信息起到一定的推動作用，但目前網絡安全態勢感知的自動化程度仍較低，對此類關鍵技術難點的突破將是實現態勢感知和主動防御的重要環節。